12 steg för att bygga ett förstklassigt program för sårbarhetshantering

Säkerhetsexperter har länge förstått vikten av att adressera sårbarheter inom sina it-miljöer. Beslutsfattare på styrelsenivå har också insett hur kritisk denna uppgift är, speciellt med tanke på alla uppmärksammade intrång som inträffat till följd av ouppdaterade it-system.

Erfarna ledare inom säkerhet är överens om att sårbarhetshantering inte borde behandlas på ad hoc-basis eller genom informella metoder. Det borde istället vara programmatiskt att driva igenom handlingsplaner, ansvarstagande och kontinuerliga förbättringar.

Som svar på detta erbjuder dessa experter tolv steg för hur man bygger ett förstklassigt program för sårbarhetshantering:

1. Sammankalla ett team

– Innan du köper något, utför någon process eller skapar procedurer behöver du bygga ett team, säger Daniel Floyd, som i sin roll som it-säkerhetschef på Blackcloak överser dess SOC, underrättelseplattform, penetrationstester och deras team med digitala forensiker.

Förutom att utse säkerhets- och it-personal som normalt arbetar med sårbarhetshantering rekommenderar Floyd att inkludera andra intressenter som anställda från affärssidan som kan förklara vilka konsekvenserna kan bli när system startas om så att teamet kan förstå hur deras arbete påverkar andra.

2. Upprätthåll ett uppdaterat och komplett register över dina tillgångar

Ett annat fundamentalt element för alla effektiva program för sårbarhetshantering är en uppdaterad förteckning över tillgångar och en process som ser till att den förblir så uppdaterad och allomfattande som möjligt.

– Det är definitivt något som alla känner till, men också ett område som är svårt, säger Floyd, speciellt i dagens moderna miljö med dess fysiska objekt, fjärranslutningar för anställda, IoT-komponenter, såväl som moln-, SaaS- och öppen källkodselement.

Men det här arbetet är viktigt, säger Alex Holden, it-säkerhetschef på Hold Security och medlem av Isaca Emerging Trends Working Group.

– Allt detta måste tas med i beräkningen, så när något nytt dyker upp så vet du om det är något du behöver fixa.

3. Utveckla ett ”besatt fokus på synlighet”

Med en omfattande förteckning av tillgångar på plats förespråkar William MacMillan, ansvarig för informationssäkerhet på Salesforce, att nästa steg är att utveckla ett ”besatt fokus på synlighet” genom att ”förstå sammankopplingarna i din miljö, hur data rör sig och integrationerna”.

– Även om du inte är mogen nog i din resa mot att bli programmatisk, kan du börja med synlighetsbiten. Den mest kraftfulla peng du kan spendera inom cybersäkerhet är att förstå din miljö, att känna till alla dina saker. För mig är det grunden till ditt hus, och du vill bygga på en stark grund, säger MacMillan.

4. Bli mer aggressiv med ditt skannande

Sårbarhetsskannande är ett annat grundelement i ett solitt cybersäkerhetsprogram. Men experter säger att även om många organisationer kör regelbundna skanningar så lyckas de ändå inte hitta alla problem eftersom de inte är tillräckligt noga.

– Jag tror att folk misslyckas för att de inte har bra täckning, säger Floyd.

Som en konsekvens har framgångsrika program inom sårbarhetshantering börjat med mer aggressiva skanningar som inbegriper fler skanningsalternativ. Floyd, exempelvis, säger att han tror att man som tillägg till vanliga agentbaserade sökningar och nätverkssökningar borde inkludera inloggade skanningar för mer noggranna genomsökningar efter svaga konfigurationer och saknade uppdateringar.

5. Ha dokumenterade genomtänkta arbetsflöden

Mogna, väletablerade program för sårbarhetshantering har dokumenterade, genomtänkta arbetsflöden som beskriver vad som händer och vem som är ansvarig för vad, säger MacMillan.

– Större, komplexa företag förstår att sårbarheter utgör ett existentiellt hot och att de snabbt måste ta sig förbi ad hoc-stadiet och beskriva vad som behöver hända på ett genomtänkt och fokuserat sätt, förklarar MacMillan.

Alla säkerhetsteam kan dra nytta av att följa bästa praxis och etablera dessa arbetsflöden, med automation där det är möjligt. MacMillan säger också att teamen borde utveckla en gemensam operationell bild med samma data och hotunderrättelser tillgängligt för alla teammedlemmar som arbetar med sårbarhetshantering.

– Alla borde arbeta utifrån den gemensamma bilden, och alla bör synka med varandra, säger han.

6. Etablera och följ KPI:er

– För att validera hur effektiva dina kontrollmekanismer är, och för att bevisa för ledningen att din sårbarhetshantering är effektiv, är det bra att ha mätvärden som visar detta, säger Niel Harper, styrelseledamot för Isaca och it-säkerhetschef för ett stort globalt företag.

Harper säger att organisationer kan använda vilken som helst av de vanliga KPI:erna, till exempel andelen kritiska sårbarheter som sanerats i tid, eller inte – för att mäta hur man ligger till just nu och följa ens förbättringar över tid.

Andra KPI:er kan vara andelen tillgångar som inventerats, tiden det tar att upptäcka sårbarheter, mediantiden för att laga dem, antal incidenter till följd av sårbarheter, återupptäckter av av redan lagade sårbarheter och antalet beviljade undantag.

– Alla dessa kommer att ge ledningen en idé om hur bra ditt program för sårbarhetshantering presterar, förklarar Harper.

8. Jämför med andra

Enligt Harper kan uppföljning av KPI:er indikera om ditt eget program för sårbarhetshantering förbättras över tid, men du behöver mäta dig med andra företags program för att avgöra om ditt program är bättre eller sämre än andras.

– Att jämföra hjälper dig förstå hur du presterar jämfört med dina vänner och konkurrenter, och det säkerställer också för ledningen att ditt program är effektivt. Det kan också tjäna som något som skiljer ut er på marknaden och som du till och med kan använda för att öka intäkterna, säger Harper, och tillägger att leverantörer av hanterade tjänster ofta har data som säkerhetsteam kan använda för detta ändamål.

8. Utse någon ansvarig för framgång och misslyckanden

Flera experter säger att för att få till ett riktigt program för sårbarhetshantering behöver organisationer utse någon som tar ansvar för programmets arbete och till slut även dess framgångar och misslyckanden.

– Det måste vara en namngiven person, någon inom ledarskapet men inte en it-säkerhetschef eftersom den som är it-säkerhetschef inte har tid att följa KPI:er och leda grupper, säger Frank Kim, grundare av Thinksec, ett konsultföretag inom säkerhetsrådgivning och rådgivning till it-säkerhetschefer, och medlem av Sans.

Enligt Kim har stora företag ofta tillräckligt att göra inom sårbarhetshantering för att fylla en heltidstjänst, men mindre företag borde ändå se till att denna ansvarsroll blir en officiell del av någons jobb.

– För om du inte lägger detta ansvar på en specifik person kommer alla att skylla på varandra, säger Kim.

9. Skapa incitament för förbättringar och framgång

Att tilldela ansvar för programmet är en sak, men Kim med flera experter säger att organisationer bör också skapa incitament, som till exempel bonusar, kopplade till KPI:erna.

– Skapa incitament inte endast för de team som ansvarar för uppdateringarna, men för alla intressenter inom hela organisationen, säger Floyd, oavsett om incitamenten handlar om extra ledighet eller andra former av uppskattning.

– Det handlar om att motivera och att fira framgångar. Det visar också att det här behöver prioriteras.

10. Skapa ett buggjägarprogram

Enligt MacMillan belönade Salesforce etiska hackare till ett värde av över 2,8 miljoner dollar under 2021. Detta som tack för att de identifierade säkerhetsproblem i företagets produkter, och visar att företaget ser buggjakt som en viktig del av sårbarhetshanteringen.

MacMillan rekommenderar att andra organisationer implementerar buggjägarprogram som en del av deras arbete med sårbarhetshantering.

– Det är ett effektivt sätt att lyfta upp problem, säger han.

Och MacMillan är inte ensam. Holden, bland andra, säger att mindre organisationer kan sätta upp interna buggjägarprogram som belönar anställda som hittar sårbarheter, eller att de kan arbeta med externa parter eller cybersäkerhetsföretag som erbjuder sådana tjänster för att dra nytta av en större kunskapsmassa.

11. Sätt förväntningar och justera dem över tid

Antalet kända sårbarheter på CVE-listan fortsätter att växa, och antalet sårbarheter som årligen läggs till listan har ökat i stort sett varje år det senaste decenniet. 2011 fanns där 4813 CVE:er; 2020 hade de ökat till 11 463 stycken, enligt en analys från Kenna Security.

Givet den här volymen är experterna överens om att organisationer måste prioritera vilka sårbarheter som utgör störst risk så att de kan adressera dem först.

Det håller Peter Chestna, nordamerikansk it-säkerhetschef på Checkmarx, med om, men han säger också att organisationer borde vara ärliga och tydliga med prioriteringen och fokusera sårbarhetshanteringen på de sårbarheter som de faktiskt planerar att adressera.

Om en organisation till exempel planerar att endast adressera sårbarheter med hög klassificering, varför ska de då överhuvudtaget skanna efter dem med låg riskklassificering? Chestna säger att det skulle kunna dränera organisationen på resurser och distrahera teamet från arbete av högre dignitet, vilket gör det mer sannolikt att man missar kritiska problem.

– Sätt istället de regler du vill följa – det behöver vara regler du faktiskt kan följa – och följ dem. Och när det ger riktigt bra resultat för det som är högst prioriterat kan vi prata om att öppna dammluckorna, säger Chestna, och tillägger att detta hjälper organisationer att fokusera på att reducera risker.

12. Rapportera om programmets prestation till intressenter och styrelsen

Utöver att hålla intressenterna inom organisationen informerade om arbetet med uppdateringar av sårbarheter som skulle kunna påverka deras tillgång till olika system, säger experterna att säkerhetsavdelningen bör rapportera om sårbarhetshanteringsprogrammets övergripande prestation, presenterat i affärstermer kring risker och riskminimering.

– Det här är något du faktiskt borde rapportera till din styrelse. Håll dig själv ansvarig, tillägger Floyd.